Quebec Wet 25 (Wetsvoorstel 64): De complete gids voor cookietoestemming en privacy voor uitgevers in 2026
De meeste privacydiscussies in Noord-Amerika beginnen en eindigen met Californië. Dat kader is verouderd. De Wet 25 van Quebec, voorheen bekend als Wetsvoorstel 64, legt nu straffen op die de CCPA, CPRA en elke Amerikaanse staatswet overtreffen — tot CAD $25 miljoen of 4% van de wereldwijde omzet, afhankelijk van wat hoger is. De laatste fase van Wet 25 trad op 22 september 2024 in werking, waarbij een volledig recht op dataportabiliteit werd ingevoerd, en de handhaving is verscherpt in 2025 en in 2026. Elke uitgever, SaaS-platform of adtech-leverancier met Quebec-verkeer staat nu voor GDPR-niveau verplichtingen — vaak veeleisender dan de GDPR zelf op specifieke gebieden zoals grensoverschrijdende overdrachten en kennisgevingen over geautomatiseerde besluitvorming.
Wat Wet 25 van Quebec eigenlijk vereist
Wet 25 wijzigt de bestaande privacywet van de private sector in Quebec (Act Respecting the Protection of Personal Information in the Private Sector) en brengt deze dichter bij de Europese GDPR, terwijl uitgesproken Canadese kenmerken behouden blijven. De kernvereisten die uitgevers en digitale exploitanten treffen zijn:
- Expliciete, gedetailleerde toestemming voordat persoonlijke informatie wordt verzameld of gebruikt voor een ander doel dan het oorspronkelijk vermelde.
- Een aangestelde Privacy Officer (standaard de hoogst gerangschikte leidinggevende, tenzij formeel gedelegeerd) wiens naam en contactgegevens op de website moeten worden gepubliceerd.
- Verplichte Privacy Impact Assessments (PIA's) voorafgaand aan elk project dat persoonlijke informatie omvat, met name grensoverschrijdende overdrachten of nieuwe technologie.
- Meldplicht bij datalekken aan de Commission d'accès à l'information (CAI) en aan getroffen personen wanneer het lek een risico op ernstige schade met zich meebrengt.
- Individuele rechten waaronder inzage, rectificatie, verwijdering, portabiliteit en — uniek — het recht om geïnformeerd te worden over geautomatiseerde besluitvorming en menselijke beoordeling te verzoeken.
Het handhavingsorgaan is de Commission d'accès à l'information du Québec (CAI), die gedurende 2025 formele onderzoekskennisgevingen heeft uitgevaardigd aan meerdere internationale uitgevers en platforms. In tegenstelling tot sommige toezichthouders heeft de CAI bereidheid getoond om niet-Canadese entiteiten te vervolgen die Quebec-inwoners bedienen.
Specifieke aspecten van cookietoestemming: strenger dan GDPR op hoofdpunten
Wet 25 gebruikt het woord "cookie" niet direct, maar haar definitie van technologie die een persoon identificeert, localiseert of profileert, omvat cookies, pixels, vingerafdrukken en SDK-gebaseerde mobiele identifiers. Artikel 8.1 is de cruciale bepaling: elke dergelijke technologie die standaard is geactiveerd moet standaard worden uitgeschakeld en actieve toestemming vereisen om ingeschakeld te worden.
Geen vooraf aangevinkte vakjes, geen impliciete toestemming
Deze formulering is strenger dan het ePrivacy-kader van de GDPR op één specifiek punt: niet alleen moet toestemming opt-in zijn, maar de onderliggende technologie moet technisch uitgeschakeld zijn totdat toestemming is verleend. Een cookiebanner die analyses laadt voordat de gebruiker op accepteren klikt, schendt Wet 25, ook als de banner zelf technisch correct is. Uitgevers moeten echte toestemmingsgebaseerde scriptlading implementeren, vergelijkbaar met Google Consent Mode v2 in de geavanceerde modus — de basismodus is over het algemeen onvoldoende.
Op profiel gebaseerde personalisatie vereist afzonderlijke toestemming
Als u cookies gebruikt om een gebruikersprofiel te maken voor gepersonaliseerde advertenties, behandelt Wet 25 dat als een afzonderlijk doel dat zijn eigen toestemmingslaag vereist, bovenop de basistoestemming voor het plaatsen van cookies. Een enkele knop "alles accepteren" die opslag, analyses en personalisatie bundelt, loopt risico — de Quebec-toezichthouder heeft een voorkeur gesignaleerd voor granulaire per-doelschakelstanden.
Grensoverschrijdende overdrachten: de PIA-vereiste
Quebec is de enige Canadese provincie die een formele Privacy Impact Assessment vereist voordat persoonlijke informatie buiten Quebec wordt overgedragen — inclusief naar de rest van Canada, naar de Verenigde Staten en naar Europese datacenters. De PIA moet evalueren:
- De gevoeligheid van de betrokken gegevens.
- Het doel en de noodzaak van de overdracht.
- Het rechtskader van de bestemmingsjurisdictie.
- De contractuele en technische waarborgen die van kracht zijn.
Voor uitgevers treft dit het meest analyses, tagbeheer, CDN-logs en advertentieserverdata die naar Amerikaanse infrastructuur stromen. Een Quebec-adequate PIA blokkeert deze overdrachten niet, maar vereist gedocumenteerde beoordeling en — cruciaal — schriftelijke bevestiging van de ontvangende partij dat de gegevens worden beschermd onder gelijkwaardige beginselen. Standaard in de VS gehoste SaaS-contracten bevatten deze taal zelden standaard en moeten worden gewijzigd.
Kennisgevingen over geautomatiseerde besluitvorming
Artikel 12.1 van Wet 25 is uniek in het Noord-Amerikaanse recht: als een bedrijf persoonlijke informatie gebruikt om een beslissing te nemen die uitsluitend gebaseerd is op geautomatiseerde verwerking, moet het:
- De persoon informeren op of vóór het moment waarop de beslissing wordt genomen.
- Op verzoek de gebruikte persoonlijke informatie, de redenen en de voornaamste factoren die tot de beslissing hebben geleid uitleggen.
- De gelegenheid bieden om opmerkingen in te dienen bij een menselijke beoordelaar.
Voor adtech omvat dit programmatische besluitvorming over biedverzoeken, dynamische prijsstelling, fraudescoring en AI-ondersteunde contentrangschikking. Uitgevers controleren deze algoritmen zelden rechtstreeks — ze vertrouwen op SSP's en DSP's — maar Wet 25 behandelt de uitgever als een gezamenlijk verantwoordelijke partij wanneer de beslissing gebruikmaakt van gegevens die de uitgever heeft verzameld. Het toevoegen van een korte geautomatiseerde-beslissingsdisclosure aan uw privacymelding is de minimaal haalbare nalevingsstap.
Praktische nalevingschecklist voor 2026
Stap 1: Breng Quebec-verkeer en datastromen in kaart
Gebruik IP-geolocatie in uw analyses om het volume van Quebec-bezoekers te schatten. Zelfs als Quebec minder dan 5% van uw publiek is, maakt de 4%-van-omzet-boete het disproportioneel riskant om te negeren. Breng elke cookie, pixel en SDK in kaart die activeert voor Quebec-gebruikers en waar de data terechtkomt.
Stap 2: Implementeer een toestemmingsgebaseerde CMP
Uw CMP moet echte blokkering op scriptniveau ondersteunen, niet cosmetische bannerafwijzing. FlexyConsent en andere door Google gecertificeerde CMP's bieden Quebec-specifieke georegels die Wet 25-logica koppelen aan bredere Consent Mode v2 en GPP US-national signalen. Vooraf geconfigureerde Quebec-modus moet alle niet-essentiële categorieën standaard op uit zetten.
Stap 3: Stel een Privacy Officer aan en publiceer deze
Als uw organisatie geen Canadese aanwezigheid heeft, is uw CEO of equivalent standaard de Privacy Officer, tenzij u formeel schriftelijk delegeert. Publiceer de naam en het e-mailadres in uw privacymelding — de CAI controleert dit bij de eerste inspectie.
Stap 4: Voer een PIA uit vóór nieuwe projecten
Elke nieuwe leverancier, elke nieuwe grensoverschrijdende overdracht, elke nieuwe trackingtechnologie vereist een gedocumenteerde PIA. Sjabloon-PIA's van de CAI worden geaccepteerd; u heeft geen op maat gemaakte juridisch advies nodig voor routinematige analyses of CDN-contracten.
Stap 5: Werk uw privacymelding bij
Quebec vereist specifieke openbaarmakingen: de contactgegevens van de Privacy Officer, de categorieën van verzamelde persoonlijke informatie, bewaartermijnen, ontvangers van derden, bestemmingen van grensoverschrijdende overdrachten en geautomatiseerde besluitvormingspraktijken. Een algemene GDPR-melding voldoet vrijwel nooit aan Wet 25 zonder materiële aanvullingen.
Hoe Wet 25 van Quebec samenwerkt met PIPEDA en de toekomst van Wet 25
PIPEDA, de federale privacywet van Canada, is van toepassing op commerciële activiteiten in heel Canada — maar Wet 25 van Quebec heeft voorrang binnen Quebec omdat de provincie is verklaard substantieel vergelijkbaar voor privacydoeleinden in de private sector. In de praktijk betekent dit dat Quebec-operaties standaard vallen onder Wet 25 en PIPEDA alleen van toepassing is op activiteiten die provinciale grenzen overschrijden.
Canada moderniseert ook PIPEDA via de voorgestelde Consumer Privacy Protection Act (CPPA). Als CPPA in zijn huidige vorm wordt aangenomen, brengt het de rest van Canada dichter bij het Quebec-model — expliciete toestemming, betekenisvolle straffen, een federale privacycommissaris met ordeningsbevoegdheid en transparantie over geautomatiseerde besluitvorming. Uitgevers die hun stack vandaag rondom Wet 25 van Quebec bouwen, zullen goed gepositioneerd zijn voor federale wijzigingen van morgen.
De korte versie: Wet 25 van Quebec is geen provinciale bijzonderheid. Het is de sjabloon voor waar het Canadese privacybeleid naartoe gaat en het meest agressieve privacyregime in de Amerika's. Uitgevers, adverteerders en SaaS-leveranciers die Canadees verkeer bedienen, moeten naleving van Wet 25 beschouwen als een prioriteit voor 2026, niet als een toekomstig project.